раздел 04

Что делать и не делать

Полностью «вылечить» инъекцию нельзя - агент по природе не отличает данные от команд. Зато можно ограничить ущерб: дать агенту мало прав, держать секреты в стороне и подтверждать важное руками.

Главный принцип: считайте, что любая внешняя инструкция может оказаться вредной. Стройте всё так, чтобы даже выполненная вредная команда не привела к катастрофе.

Делать

Наименьшие привилегии

Давать агенту узкие разрешения под конкретную задачу, а не всё подряд.

Подтверждения (approvals)

Важные и необратимые действия - только через явный approval человека.

Ревью перед установкой

Прочитать скил, правило или MCP до установки - понять, что внутри.

Доверенные источники

Ставить из официальных материалов Anthropic, от авторов с репутацией, своё.

Пинить версии

Фиксировать проверенную версию, а не тянуть «последнюю» вслепую.

Scoped-токены

Выдавать токены с минимальными правами под конкретную задачу.

Песочница и изоляция

Запускать агента в изолированном окружении, отделённом от важного.

Человек в петле

Для чувствительного - обязательное участие человека перед действием.

Секреты отдельно

Не хранить ключи там, куда лезет агент, и не вставлять их в промпт.

Не делать

Ставить вслепую

Скилы, правила, MCP и пакеты из неизвестных источников без чтения и проверки.

Широкие права плюс секреты

Давать агенту широкие права и доступ к секретам одновременно.

Авто-апрувить всё

Включать авто-выполнение любых действий без подтверждений.

Ключи в промпте

Вставлять API-ключи и токены прямо в текст промпта.

Агент в прод без ревью

Пускать агента менять прод без человека и проверки.

Запускать незнакомое

Слепо запускать незнакомые репозитории и «бесплатные паки» от анонимов.